Vulnérabilité dans la plateforme de gestion RedHat Openshift Jaeger

CVE-2020-14040 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant permettre un déni de service a été découverte dans la libraire golang.org/x/text utilisée par RedHat OpenShift Jaeger. Un attaquant distant et non authentifié peut, à travers l’envoi de chaînes de caractères spécifiques, créer une boucle infinie consommant une grande quantité de mémoire, ce qui conduirait à un déni de service sur la machine vulnérable.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Il n’existe pas de code d’exploitation connu publiquement à l’heure actuelle

Composants vulnérables

Red Hat Build of Jaeger (<v1.20)

Sur les distributions Red Hat OpenShift Virtualization 1 & 2, les paquets affectés utilisés par RedHat Openshit Jaeger RedHat sont les suivants :

  • virt-operator

  • virt-launcher

  • virt-handler

  • virt-controller

  • virt-cdi-uploadserver

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour RedHat OpenShift Jaeger ici.

Solution de contournement

  • Il n’existe pas de solution de contournement à l’heure actuelle.